近日,百度安全实验室监控到一款具有特定商业目的“易融窃贼”新型隐私窃取类病毒,借款人在网络借贷平台申请贷款过程中,信贷顾问会要求借款人下载一款名为“P2”的手机客户端软件,并通过该软件提交个人资料,以便进行综合性评估。软件安装界面如下图:
P2手机客户端程序启动后界面如下图:
借款人需要在P2程序中输入真实姓名、手机号码、身份证号、邮箱等个人信息后,点击“立即申请”即可完成贷款的申请。该软件看上去功能很正常啊!如果要申请贷款,这些信息当然是必须提供的。然而经过分析后我们发现,该款软件的功能远非表面上看起来那么简单合理。隐匿功能如下:
1、在初次运行时窃取用户手机上的所有短信记录。
2、窃取用户发送和接受的所有新短信,并拦截所有以“9”、“10”或“0”开头号码发来的新短信,这些新短信包含银行短信、移动运营商短信、SP短信等。
3、当接收到特定格式短信指令时,软件根据指令内容,发送指定内容短信到指定号码。
窃取到的短信息通过以下两种方式发出:
1、通过短信方式发送窃取内容到固定手机号码。
2、通过邮件方式发送窃取内容到指定邮箱。
我们对于该款非法窃取用户个人隐私的P2软件定义为“易融窃贼”病毒。百度安全实验室目前共计监控到25款该病毒样本。通过对这些样本分析后,安全分析人员共计发现5个用于发送借款人隐私信息的邮箱:
以上用于发送用户个人隐私的邮箱名称、密码以明文形式存在于手机客户端代码中。安全人员在成功登录其中一个邮箱后发现大量非法窃取的借贷人个人隐私信息:
1、发送的隐私邮件达到191页:
2、在初次运行时窃取用户手机上的所有短信记录
短信中包含大量的个人隐私信息:(其中包含大量网站用户名、密码等):
3、用户在手机客户端提交的个人信息:
4、窃取用户发送和接受的所有新短信。
大量的借款人个人隐私信息就这样赤裸裸的被该网络借贷平台非法偷偷窃取。网络借贷平台对于借款人提交的隐私信息也没有做任何的安全保护。百度安全实验室提醒大家提高隐私保护的意识,借款人在参与网贷的过程中,一定要向平台询问清楚个人资料的保护措施,以及个人信息是否用作其他用途,个人信息的泄露可能会给您的账户资金带来一定的安全风险。网络借贷平台为了降低信用风险,可以通过合法的途径获取用户的信用记录。而不是通过窃取,既然在网贷过程中无法避免隐私的公开,既然要“裸奔”,何不让借款人有风度的“裸奔”?
“易融窃贼”病毒相关恶意代码如下:
1、窃取用户所有短信记录:
2、当接收到特定格式短信指令时,软件根据指令内容,发送指定内容短信到指定号码。
3、拦截所有以“9”、“10”或“0”开头号码发来的新短信